内存安全周报第153期 | Atlas VPN零日漏洞泄露用户真实IP地址

一、Atlas VPN零日漏洞泄露用户真实IP地址（9.5）

Atlas VPN零日漏洞影响Linux客户端，仅通过访问网站就泄露用户的真实IP地址。Atlas VPN是一款基于WireGuard的高性价比解决方案，支持所有主流操作系统的VPN产品。

详细情况

研究人员在Reddit的概念证明分享中，描述Atlas VPN的Linux客户端是如何通过8076端口侦听本地主机(127.0.0.1)的API端点，特别是Atlas VPN最新版本1.0.3。该API提供了一个命令行界面(CLI)，用于执行各种操作，例如使用http://127.0.0.1:8076/connection/stop URL断开VPN会话。然而，这个API不执行任何身份验证，其允许任何人向CLI发出命令，即使是用户正在访问的网站。

Reddit用户“Educational-Map-8145”发布一个PoC漏洞，该漏洞滥用Atlas VPN Linux API泄露用户的真实IP地址。此PoC会创建一个隐藏表单，该表单由JavaScript自动提交并连接到http://127.0.0.1:8076/connection/stop API端点URL；当API端点被访问时，它会自动终止任何隐藏用户IP地址的活跃Atlas VPN会话；VPN连接断开后，PoC将连接到api.ipify.org URL，记录访问者的实际IP地址。

这严重侵犯了VPN用户的隐私，暴露用户的大致物理位置与实际IP地址，允许他们被跟踪，这与用户使用VPN的初衷相悖。研究人员测试并确认该漏洞，证明漏洞会泄露用户IP地址；PoC绕过web浏览器上现有的CORS（跨域资源共享）保护，这种“绕过”行为让网站得不到表单提交的任何响应，以此将请求作为表单提交发送到Atlas VPN API，导致意想不到的后果。Atlas VPN最终在漏洞披露四天后向记者道歉，并承诺尽快为Linux客户端发布修复程序。

https://www.bleepingcomputer.com/news/security/atlas-vpn-zero-day-vulnerability-leaks-users-real-ip-address/

二、CISA警告Apache RocketMQ严重漏洞被利用攻击（9.7）

美国网络安全与基础设施安全局（CISA）在其已知漏洞（KEV）目录中增加一个被跟踪为CVE-2023-33246的严重漏洞，该漏洞影响Apache RocketMQ分布式消息和流媒体平台。

详细情况

目前，黑客可能正在利用该漏洞，在受影响的系统（RocketMQ 5.1.0及以下版本）上安装各种有效负载。利用该漏洞不需要身份验证是可能的，至少从6月份开始，DreamBus僵尸网络运营商就利用该漏洞部署门罗币加密货币矿工。CISA警告联邦机构应在9月27日之前修补系统上安装的Apache RocketMQ CVE-2023-33246漏洞；如果无法将应用程序更新到安全版本或以其他方式降低风险，CISA建议停止使用该产品。

美国国家标准与技术研究院（NIST）补充，如果黑客伪造RocketMQ协议内容，同样可以通过使用更新配置功能，以RocketMQ正在运行的系统用户的身份执行命令。多个RocketMQ组件（包括NameServer、Broker和Controller）暴露在公共互联网，使它们成为黑客的目标。研究人员指出，大多数系统都集中在一个国家，这可能意味着其中许多是研究人员建立的蜜罐。

扫描潜在易受攻击的系统时，研究人员还发现“各种恶意载荷”，表明多个黑客正在利用该漏洞；虽然表现出可疑的行为，但利用RocketMQ后丢弃的可执行文件目前未被病毒总量扫描平台上的反病毒引擎检测为恶意，样本在系统上的可疑行为包括自我删除、运行命令修改权限、枚举进程、转储凭证、读取SSH私钥与“known_hosts”文件、编码和加密数据，以及读取bash历史。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-apache-rocketmq-bug-exploited-in-attacks/